Bigpanzi ボットネットが数十万の Android デバイスに感染

セキュリティ専門家らは、数百万台のスマート TV やセットトップ ボックスに影響を与える可能性がある分散型サービス拒否 (DDoS) ボットネットは、8 年間活動してきた Bigpanzi として知られる既存のサイバー犯罪グループによるものであると考えています。

キャンペーンのピーク時には、毎日少なくとも 170,000 台のボットが動作し、海賊版アプリやファームウェアのアップデートを通じて Android ベースのテレビやストリーミング デバイスに感染しました。典型的な感染シナリオには、ユーザーがスマートフォンで疑わしいストリーミング サイトにアクセスし、悪意のあるアプリを Android スマート TV に誤ってダウンロードすることが含まれていました。

デバイスは感染すると、DDoS 攻撃や、攻撃者が別のチャネル上のコンテンツを置き換える他のストリームの乗っ取りなど、さまざまなサイバー犯罪に悪用されます。 2023年12月にアラブ首長国連邦で起きた事件では、イスラエルとパレスチナ間の紛争の映像を流すために通常の放送が乗っ取られた。

中国のセキュリティ会社は、Bigpanziが制御するテレビやセットトップボックスが暴力的、テロ的、または露骨なコンテンツを放送したり、高度なAI生成ビデオを政治的プロパガンダに使用したりする可能性があり、社会の秩序と安定に重大な脅威をもたらすと警告した。

Bigpanzi がみらいの本のページを抜粋

研究者らは、このボットネットの DDoS 履歴の詳細や、それが注目を集めた攻撃によるものであるとは明らかにしていませんが、その DDoS コマンドが悪名高い Mirai から継承されていると指摘しています。研究者らの調査により、Bigpanzi に関連する Pandoraspear マルウェアが、後のバージョンに Mirai 関連の 11 個の DDoS 攻撃ベクトルを組み込んでいることが明らかになりました。

Bigpanzi は、pandoraspear マルウェアとともに、少なくとも 2015 年から活動を続けています。Bigpanzi を追跡し、その活動を妨害することに重点を置いて対抗する取り組みが継続中です。このグループは主にブラジル、特にサンパウロをターゲットにしており、キャンペーンのピーク時にかなりの数のボットが確認されました。

ボットネットの本当の規模は、研究者がボットネットの指揮制御インフラストラクチャに使用されていた 2 つの期限切れドメインを制御したときに明らかになりました。これに応じて、サイバー犯罪者はドメインを強制的にオフラインにすることで報復しました。

このグループは、DDoS 活動を管理下の別のボットネットに移し、コンテンツ配信ネットワークとして機能するなど、より儲かるサイバー犯罪に使用している疑いがあります。消費者向けデバイスの電源が常にオンになっていない可能性があるため、ボットネットの現在の規模は、8 月のピーク時に記録された 6 桁を超えると考えられています。